恶意家族名称:
RootFinder
威胁类型:
信息窃取
简单描述:
RootFinder 是一款基于 .NET 的窃密工具,该程序使用了 .NET Reactor进行多次混淆,运行时可以窃取主机信息和数十款浏览器的敏感信息、FTP账号密码等数据。
恶意文件分析
恶意事件描述
近日,深信服深盾终端实验室在运营工作中捕获到一款新型信息窃取病毒,该病毒由 .NET 语言编写,套用了开源软件 StormKitty 的部分代码。经过分析发现该病毒功能尚不完善且手法相对简单,该窃密程序已在黑客论坛售卖,后续可能还会持续更新。
大多数计算机感染源于用户打开恶意电子邮件附件、点击有害链接或从不可信的来源下载文件。攻击者还使用特洛伊木马、虚假安装程序、虚假软件更新和类似方法来诱导用户并感染他们的计算机。
恶意事件分析
MITRE ATT&CK
解混淆
首先查看文件的信息,发现是.NET写的32位程序,拖进dnspy发现存在混淆,使用de4dot经过多次解混淆之后查看该文件:
收集ARP信息
首先通过cmd执行arp -a命令收集主机arp信息
收集FileZilla信息
通过读取 recentservers.xml 和 sitemanager.xml 两个文件的内容获取ftp服务器账号密码。
之后将收集到的信息写入到C:WondowsHosts.txt中。
收集主机信息
使用通过WMI接口获取计算机CPU和显卡信息,之后与主机名,用户名进行拼接计算MD5:
收集主机反病毒软件信息
此外还包括:系统语言、公网IP、系统时间、操作系统和系统版本、内存大小、磁盘系列号、BIOS信息、MAC地址、子网扫描、内网IP。
收集浏览器信息
包括Opera、Google Chrome、MapleStudio ChromePlus、Iridium、7Start、CentBrower、Chedot、Vivaldi、Kometa、Element Browser、Epic Privacy Brower、uCozMedia、Chromium、Sleipnir、Citrio、Coowon、liebao、QIP Surf、Orbitum、Comodo、Amigo、Torch、Yandex、360Browser、Maxthon3、K-Melon、Sputnik、Nichrome、CocCoc、Uran、Chromodo、Atom、Brave-Browser、Edge,FireFox、WaterFox、Thunderbird、IceGragon、Cyberfox、BlackHaw、Pale Moon等众多浏览器保存的账号密码、cookie、搜索历史、信用卡等信息,此时收集到的信息将被保存到C:Windows目录下的众多txt中。
发送数据
收集到的信息将以明文的形式发送到 Telegram 机器人中:
文件同样会被使用POST的方式发向Telegram,随后删除保存的txt文件
病毒运营者自述可以获取游戏客户端(Steam,Minecraft)账号,但在分析调试的时候暂未发现相关代码调用。
解决方案
深信服解决方案
【深信服终端检测响应平台EDR】已支持查杀拦截此次事件使用的病毒文件,请更新软件(如有定制请先咨询售后再更新版本)和病毒库至最新版本,并接入深信服安全云脑,及时查杀新威胁;
【深信服安全运营服务】通过以“人机共智”的服务模式帮助用户快速提高安全能力。针对此类威胁,安全运营服务提供安全设备策略检查、安全威胁检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...